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(§4) PROCEDE DE SECURISATION DE DONNEES METTANT EN OEUVRE UN 
CRYPTOGRAPHIQUE. 



ALGORITHME 



_ L'invention concerne un procede de securisation de 
donnees mettant en oeuvre un algorithme cryptographique 
comprenant au moins un cycle d'execution d'operations re- 
petitives de traitement d'elements de donnees (K2, Rl) pour 
elaborer une information chiffree (C), ce procede compre- 
nant au moins une etape (120. 220) de modification aleatoi- 
re de ('execution d'au moins une operation d'un cycle a un 
autre ou d'au moins un des elements de donnees de telle 
sorte que I'information chiffree soit inchangee parcette mo- 
dification aleatoire. 
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La presente invention concerne un procede de 



securisation de donnees, destine par exemple a etre mis en 
oeuvre par le microprocesseur d'une carte bancaire ou une 
carte d' autorisat ion d'acces lors d'une connexion a un 
terminal inf ormat ique d' authent if icat ion . 



connu mettent en oeuvre un algorithme cryptographique 
comprenant des cycles d' execution d' operations repetitives 
de traitement d' elements de donnees contenus dans une 
memoire de la carte pour elaborer une information chiffree 
destinee a etre communiquee au terminal inf ormat ique . 



la carte engendre 1' emission de signaux derives tels que 
des pics de consommation au niveau de 1 ' alimentation 
electrique du microprocesseur, ou des variations du 
rayonnement electromagnet ique de sorte que l'enveloppe du 
rayonnement electromagnet ique est significative des donnees 
traitees. Un fraudeur desirant utiliser de fa<;on non 
autorisee les cartes a microprocesseur peut lancer a 
plusieurs reprises 1' execution du procede et analyser les 
signaux derives emis pour etablir des correspondances entre 
les differentes operations de traitement et chaque signal 
ou serie de signaux. A partir de ces correspondances, et en 
soumettant par exemple la carte a des perturbations 
electromagnet iques ou des baisses de tension a des instants 
precis du deroulement de 1 ' algorithme , le fraudeur peut 
etudier 1 ' inf ormat ion chiffree obtenue et les differences, 
ou au contraire 1 ' absence de differences, entre les signaux 
derives emis pour decouvrir les donnees contenues dans la 
memoire de la carte. 



derives, on a pense a engendrer des signaux parasites 
venant s'ajouter aux signaux derives emis lors de 1' execu- 
tion du procede. L' extraction des signaux correspondant a 
1' execution du procede est alors plus delicate mais demeure 



Les procedes de securisation de 



donnees de type 



L' execution du procede par le microprocesseur de 
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possible. On a egalement pense a concevoir les composants 
electroniques de la carte et le programme d' execution du 
procede de sorte que les signaux derives emis soient 
independants de la valeur des donnees sensibles. Toutefois, 
ceci complique la realisation des cartes sans assurer une 
protection sat isf aisante des donnees. 

Un but de 1' invention est de proposer un procede 
de securisation efficace ne presentant pas les inconve- 

nients precites. 

En vue de la realisation de ce but, on prevoit, 
selon 1' invention, un procede de securisation de donnees 
mettant en oeuvre un algorithme cryptographique comprenant 
au moins un cycle d' execution d' operations repetitives de 
traitement d' elements de donnees pour elaborer une informa- 
tion chiffree, ce procede comprenant au moins une etape de 
modification aleatoire de 1' execution d'au moins une 
operation d'un cycle a un autre ou d'au moins un des 
elements de donnees de telle sorte que 1 ' inf ormat ion 
chiffree soit inchangee par cette modification aleatoire. 

Par modification aleatoire de 1' execution d'au 
moins une operation, on entend une modification de 1 ' ordre 
d' execution d' operations ou de parties d' operations , ou une 
modification du deroulement d'une seule operation. Ainsi, 
au moins une operation et/ou au moins une des donnees 
trainees sont modifiees aleatoirement , ce qui affecte de 
fagon aleatoire les signaux derives emis. Il est de ce fait 
tres difficile pour un fraudeur de distinguer les differen- 
tes operations de traitement et de decouvrir les donnees a 
partir des signaux derives. En outre, la modification 
aleatoire n' affecte pas 1 ' inf ormat ion chiffree de sorte que 
celle-ci peut etre utilisee de fagon habituelle apres son 
elaboration . 

D'autres caracter is t iques et avantages de 1' in- 
vention apparaitront a la - lecture de la description qui 
suit d'un mode de mise en oeuvre particulier non limitatif 
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de 1' invention, en relation avec la figure unique annexee 
illustrant sous forme d'un schema par blocs le deroulement 
du procede selon ce mode de mise en oeuvre . 

Le procede de securisation selon 1' invention est 
ici decrit mettant en oeuvre un algorithme cryptographique 
de type DES (abreviation des termes DATA ENCRYPTION 
STANDARD) en vue d'elaborer une information chiffree C de 
64 bits a partir d'un bloc message M et d'une cle secrete 
Kl eux-memes de 64 bits. 

Le procede debute par la permutation 10 des bits 
du bloc message M entre eux pour former le bloc MO . 

Le bloc MO est alors divise en deux blocs Ml et 
M2 de 32 bits lors d'une etape de division 20. 

II est ensuite procede a 1' expansion 30 du bloc 
M2 pour former un bloc M3 de 48 bits. Cette expansion 30 
est par exemple realisee en decoupant le bloc M2 en huit 
quartets et en ajoutant a chaque quartet le bit extreme 
adjacent des quartets encadrant le quartet concerne (les 
quartets extremes etant consideres comme adjacentes) . 

Parallelement a ces operations, une permutation 
110 est effectuee sur les bits de la cle Kl pour former la 
cle K2 . Les bits non signif icat if s de la cle Kl sont 
simultanement supprimes de sorte que la cle K2 a seulement 
56 bits. 

Selon 1' invention, les bits de la cle K2 sont 
alors modifies aleatoirement lors d'une transformation 120. 
Les bits de la cle K3 correspondant aux bits modifies de la 
cle K2 , ici marques par une etoile, sont memorises. La 
transformation aleatoire 120 est par exemple realisee en 
associant a la cle K2 , par 1 ' intermediaire d'un operateur 
logique de type OU exclusif, un nombre aleatoire engendre 
par un generateur de norabres non predictibles de la carte. 

Une cle K4 est obtenue par la rotation 130 des 
bits de la cle K3 . Puis, une permutation 140 est realisee 
sur les bits de la cle K4 pour former la cle K5 . Simultane- 
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ment a la permutation 140, les bits non signif icat if s de la 
cle K4 sont elimines de sorte que la cle K5 comporte 48 
bits . 

Le procede se poursuit par 1 ' association 210 du 
bloc M3 et de la cle K5 par 1 ' intermediaire d'un operateur 
logique de type OU exclusif . Le resultat de cette associa- 
tion est le bloc Rl . 

La transformation inverse des bits du bloc Rl 
correspondant aux bits modifies par la transformation 120 
est ensuite realisee pour former le bloc R2 . Cette trans- 
formation 220 inverse de la transformation 120 vise a 
remettre les bits du bloc Rl correspondant aux bits marques 
d'une etoile dans l'etat dans lequel ils auraient ete en 
1' absence de la transformation 120. 

II est ensuite procede, de fagon classique, a la 
division et au traitement 230 du bloc R2 , a la permutation 
240 des bits du bloc R3 formes lors de l'etape 230, et a 
1 ' association 250 du bloc R4 resultat de l'etape 240 au 
bloc Ml par un operateur OU exclusif pour former le bloc 
R5 . 

Le groupe d' operations , designe de maniere gene- 
rale par la reference 270, est ensuite execute a nouveau a 
quinze reprises en affectant, a chacune de celles-ci, la 
valeur du bloc Ml au bloc M2 et la valeur du bloc R5 au 
bloc Ml lors d'une etape d' affectation 260. 

Le procede se termine par 1' operation 300 d'ob- 
tention de 1 ' information chiffree C par la permutation 
inverse et la reunion du bloc dernier M2 et du bloc dernier 
R5 obtenus . 

On comprend que l'etape de modification aleatoire 
de la cle K2 comprend la phase de transformation 120 et la 
phase de transformation inverse 220. Ces deux phases 
permettent d'obtenir une information chiffree C qui n'est 
pas affectee par cette modification aleatoire. 

On pourrait egalement realiser de la meme maniere 
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une modification aleatoire du bloc M2 et/ou d'une autre 
donnee . 

Selon un autre mode de mise en oeuvre de 1' inven- 
tion, lequel peut etre associe a une etape de modification 
telle que precedemment decrite, 1' execution d'au moins une 
operation peut etre modifiee de fa^on aleatoire d'un cycle 
a 1' autre, un cycle pouvant etre un cycle complet d' execu- 
tion de 1' algorithme ou un cycle intermediaire d' execution 
d'un groupe d' operations . 

Par exemple, une determination aleatoire de 
l'ordre d' execution de certaines operations peut etre 
realisee au cours d'un cycle d' execution de 1 ' algorithme . 
Les operations retenues seront celles dont l'ordre d' execu- 
tion les unes par rapport aux autres n' influent pas sur le 
resultat. Pour realiser cette determination, on pourra 
prevoir a la fin des operations choisies un saut condition- 
nel vers certaines operations en fonction de la valeur d'un 
nombre aleatoire ou definir un tableau des adresses des 
differentes operations parcouru de fagon aleatoire. 

A titre d' exemple, la permutation 10 des bits du 
bloc message M pourrait etre effeccuee apres la permutation 
110 des bits de la cle Kl ou inversement . 

De meme, il pourrait etre prevu une determination 
aleatoire de l'ordre d' execution des operations du groupe 
270 pour chaque cycle intermediaire d' execution de celles- 
ci (16 cycles intermediates d' execution de ces operations 
pour un cycle complet d'execution de 1 ' algorithme ) . La 
encore, l'ordre d'execution de ces operations sera choisi 
pour ne pas influer sur le resultat. 

Par ailleurs, pour certaines operations, les 
donnees sont traitees par elements. Ainsi, lors de 1' expan- 
sion 30, les blocs M2 sont traites par quartets. Lors de 
cette operation, on peut prevoir de determiner aleatoire- 
ment l'ordre de traitement des differents quartets. De 
meme, lors de la permutation 140 les bits de la cle K4 sont 
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traites individuellement . Une etape de determination 
aleatoire de l'ordre de traitement des bits peut egalement 
etre prevue pour 1' execution de cette permutation. Les 
quartets du bloc M2 peuvent egalement etre traites en 
alternance avec les bits de la cle K4 , c'est-a-dire que 
l'on traite par exemple un premier quartet du bloc M2 puis 
une serie de bits de la cle K4 , puis un deuxieme quartet du 
bloc M2 etc., en memorisant a chaque fois les elements de 
donnee traites afin de controler que toutes les operations 
requises sont bien executees. 

Bien entendu, 1' invention n'est pas limitee au 
mode de realisation qui vient d'etre decrit, mais englobe 
au contraire toute variante reprenant , avec des moyens 
equivalents, ses caracteristiques essent ielles . 

En particulier, bien que 1 invention ait ete 
decrite en relation avec un algorithme de type DES, 
1' invention peut etre appliquee a d'autres algorithmes 
cryptographiques tels que 1' algorithme RSA (abreviation du 
nom de ses auteurs Riverst, Shamir , Adelman) ou 1' algo- 
rithme dit de Fiat Shamir. 

Par ailleurs, les nombres de bits des donnees ne 
sont mentionnes qu'a titre indicatif et peuvent etre 
modifies pour etre adaptes au degre de securisation 
envisage . 
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REVEND I CAT IONS 

1 . Procede de securisation de donnees mettant en 
oeuvre un algorithme cryptographique comprenant au moins un 
cycle d' execution d' operations repetitives de traitement 
d' elements de donnees (K2, Rl) pour elaborer une informa- 
tion chiffree (C) , caracterise en ce qu'il comprend au 
moins une etape (120, 220) de modification aleatoire de 
1' execution d'au moins une operation d'un cycle a un autre 
ou d'au moins un des elements de donnees de telle sorte que 
1 ' information chiffree soit inchangee par cette modifica- 
tion aleatoire. 

2 . Procede de securisation selon la revendication 
1, caracterise en ce que 1 ' etape de modification aleatoire 
comprend le traitement dans un ordre aleatoire de bits ou 
de groupes de bits d'au moins un element de donnee . 

3. Procede de securisation selon la revendication 
1 ou la revendication 2, caracterise en ce que 1' etape de 
modification aleatoire comprend une phase (120) de trans- 
formation aleatoire d' elements d'au moins une donnee, et, 
posterieurement a au moins une operation (130, 140, 210) de 
traitement de cette donnee, une phase (220) de transforma- 
tion inverse des elements de la donnee traitee correspon- 
dant aux elements prealablement transformers. 
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